HIPAA

La politique NICE CXone prévoit que l’entreprise signe un Accord de partenariat commercial (BAA) avec les unités commerciales. Le BAA impose à l’unité commerciale de se définir comme :

Une entité couverte (CE) ; ou
Un partenaire commercial (BA)

Cette définition couvre les exigences du BAA dans le cadre de la réglementation fédérale.

Au sein du BAA, les unités commerciales doivent observer les précautions de sécurité HIPAA suivantes :

Précautions techniques
- Contrôle d’accès par rôle (RBAC)
- Identité unique
- Exigences de chiffrement VPN
- Journalisation et surveillance
- Redondance et sauvegardes
- Sécurisation du stockage et du transport des données, et chiffrement portable des médias
- Système de détection des intrusions (IDS)
- Système de prévention des intrusions (IPS)
- Antivirus et protection contre les programmes malveillants
- Restriction des ports Où les informations sont transférées, sur un réseau, entre un ordinateur et un serveur.
- Pratiques d’implémentation converties en processus
- Application de correctifs
- Sécurisation du cycle de vie de développement, des tests et des révisions
- Contrôle du changement
Précaution de formation
- Sensibilité annuelle à la sécurité
- Formation HIPAA en fonction des rôles
Précautions d’évaluation des fournisseurs
- Évaluation de sécurité des fournisseurs
- Accès fournisseur restreint et surveillé
Précautions administratives
- Sécurité informatique
- Gestion des risques
- Plans de gestion des incidents et de la résilience, et tests
- Rôles de sécurité et d’audit définis
- Pratiques de recrutement, avec vérification indépendante des antécédents
- Accords de confidentialité et de non-concurrence avec les collaborateurs et les unités commerciales potentielles
- Audits des utilisateurs
- Accord de partenariat commercial pro forma visé par l’équipe de juristes
- Équipe de sécurité dédiée

NICE CXone demande aux fournisseurs qui groupent des informations de santé protégées (PHI) de signer un BAA.